Selon la CNIL, 78 % des PME françaises ne disposent pas d'un registre à jour de leurs sous-traitants (rapport annuel 2025). Or l'article 28 du RGPD impose au responsable de traitement une obligation de diligence sur l'ensemble de sa chaîne de sous-traitance. Ignorer cette exigence expose votre entreprise à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
Ce guide détaille les obligations légales, les méthodes d'audit et les outils pour reprendre le contrôle de votre chaîne de valeur numérique.
Qu'est-ce qu'un sous-traitant au sens du RGPD ?
L'article 4(8) du RGPD définit le sous-traitant comme toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement. En pratique, cela inclut :
- Votre hébergeur web (OVHcloud, AWS, Scaleway) qui stocke les données de vos utilisateurs
- Votre outil d'emailing (Brevo, Mailchimp, SendGrid) qui traite les adresses et comportements
- Votre solution analytics (Google Analytics, Matomo) qui collecte les données de navigation
- Votre prestataire de paiement (Stripe, Mollie) qui manipule les données bancaires
- Votre CRM ou helpdesk (HubSpot, Zendesk, Crisp) qui centralise les échanges clients
La notion de sous-sous-traitant (sub-processor) est tout aussi critique. Quand votre hébergeur utilise un CDN américain, ou que votre outil d'emailing stocke les données sur AWS, la chaîne s'étend bien au-delà de vos fournisseurs directs.
« Le responsable du traitement ne fait appel qu'à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. »
Règlement (UE) 2016/679, article 28, paragraphe 1
Les exigences de l'article 28 du RGPD
L'article 28 établit un cadre précis pour la relation responsable/sous-traitant. Voici les clauses obligatoires du contrat de sous-traitance (DPA, Data Processing Agreement) :
| Clause obligatoire | Ce qu'elle impose | Piège fréquent |
|---|---|---|
| Objet et durée | Définir précisément les traitements, catégories de données et durée | DPA générique ne couvrant pas vos traitements spécifiques |
| Instructions documentées | Le sous-traitant ne traite que sur instruction du responsable | Absence d'instructions écrites, traitement à la discrétion du prestataire |
| Confidentialité | Personnel autorisé soumis à une obligation de confidentialité | Pas de clause spécifique pour les équipes offshore |
| Mesures de sécurité | Mesures techniques et organisationnelles de l'article 32 | Référence vague à des « mesures raisonnables » |
| Sous-sous-traitance | Autorisation préalable écrite du responsable | Clause d'autorisation générale sans notification |
| Droits des personnes | Assistance pour répondre aux demandes d'exercice des droits | Absence de procédure de transmission des demandes |
| Transferts hors UE | Garanties adéquates (clauses contractuelles types, décision d'adéquation) | Transfert vers les États-Unis sans base légale valide |
| Audit | Droit d'audit et d'inspection par le responsable | Clause d'audit non opposable ou limitée à un questionnaire |
| Suppression/restitution | Suppression ou restitution des données en fin de contrat | Pas de délai de suppression défini, données conservées indéfiniment |
Comment auditer vos sous-traitants en 5 étapes
Étape 1 : cartographier tous vos sous-traitants
La première étape consiste à dresser un inventaire exhaustif. Le scan COCORRIDOR détecte automatiquement les services tiers actifs sur votre site : analytics, CDN, hébergement, paiement, publicité, sécurité et IA. En moyenne, un site de PME charge 12 à 18 services tiers, dont la moitié ne figure pas dans la politique de confidentialité.
Étape 2 : vérifier les DPA existants
Pour chaque sous-traitant identifié, vérifiez l'existence et le contenu du DPA. Un audit de la CNIL en 2025 révélait que 42 % des DPA examinés étaient incomplets, notamment sur les clauses de sous-sous-traitance et les transferts internationaux.
Étape 3 : analyser la localisation des données
Identifiez pour chaque sous-traitant le pays de stockage effectif des données. Attention : un siège social en Europe ne garantit pas un hébergement européen. Le comparateur COCORRIDOR permet de vérifier la localisation réelle de chaque fournisseur et d'identifier des alternatives européennes.
Étape 4 : évaluer les mesures de sécurité
Demandez à chaque sous-traitant les informations suivantes :
- Certifications (ISO 27001, SOC 2, SecNumCloud, HDS)
- Politique de chiffrement (au repos, en transit, clés de chiffrement côté client)
- Plan de réponse aux incidents (délai de notification, contact DPO)
- Politique de rétention et de suppression des données
Étape 5 : documenter et mettre à jour
Le registre des traitements (article 30 RGPD) doit mentionner chaque sous-traitant. Le Legal Builder COCORRIDOR génère automatiquement la liste des sous-traitants déclarés dans votre politique de confidentialité et la croise avec les services détectés par le scan pour identifier les écarts.
Les écarts les plus fréquents
| Type d'écart | Fréquence observée | Risque juridique |
|---|---|---|
| Sous-traitant non déclaré dans la politique de confidentialité | 67 % des sites audités | Manquement à l'obligation de transparence (art. 13-14) |
| DPA absent ou incomplet | 42 % des relations sous-traitantes | Manquement à l'article 28 |
| Transfert hors UE sans garanties | 54 % des sites avec services US | Manquement aux articles 44-49 |
| Sous-sous-traitant non autorisé | 31 % des chaînes auditées | Manquement à l'article 28(2) |
Comment le scan COCORRIDOR détecte les sous-traitants non déclarés
Le scan COCORRIDOR analyse 14 vecteurs de détection (DNS, TLS, headers HTTP, scripts JavaScript, cookies, balises HTML, GTM containers) pour identifier les services tiers chargés sur votre site. Il croise ensuite cette liste avec les sous-traitants déclarés dans votre politique de confidentialité.
Résultat : un rapport précisant les sous-traitants détectés mais non déclarés, les services dont la localisation est incompatible avec votre DPA, et des alternatives européennes pour chaque service problématique. Pour un accompagnement personnalisé, nos experts en migration souveraine prennent en charge l'audit complet et la mise en conformité.
FAQ
Quelle différence entre responsable de traitement et sous-traitant ?
Le responsable de traitement détermine les finalités et les moyens du traitement. Le sous-traitant traite les données pour le compte et sur instruction du responsable. En pratique, votre entreprise est responsable de traitement pour les données de ses clients et de ses salariés, tandis que vos prestataires SaaS sont sous-traitants. La qualification dépend du degré d'autonomie dans la détermination des finalités.
Un DPA est-il obligatoire pour chaque sous-traitant ?
Oui. L'article 28(3) du RGPD impose un contrat ou un acte juridique entre le responsable et chaque sous-traitant. Ce document doit couvrir les 9 clauses obligatoires détaillées dans ce guide. L'absence de DPA constitue un manquement sanctionnable par la CNIL, indépendamment de tout préjudice effectif.
Comment gérer les sous-sous-traitants (sub-processors) ?
L'article 28(2) exige une autorisation écrite préalable, spécifique ou générale, pour tout recours à un sous-sous-traitant. En cas d'autorisation générale, le sous-traitant doit informer le responsable de tout changement et lui laisser la possibilité de s'y opposer. Vérifiez régulièrement les pages « sub-processors » de vos fournisseurs.
Que faire si un sous-traitant refuse de signer un DPA ?
Si un fournisseur refuse de signer un DPA conforme à l'article 28, vous ne pouvez pas légalement lui confier le traitement de données personnelles. Deux options : négocier des aménagements contractuels, ou migrer vers une alternative conforme. Le comparateur COCORRIDOR identifie des fournisseurs européens avec DPA pré-signés conformes au RGPD.